• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (45)
  • adware (4)
  • Android (2)
  • Anuncios (30)
  • Apple (12)
  • BlackHat SEO (5)
  • Botnets (41)
  • Cálico Electrónico (1)
  • Clickjacking (7)
  • Curiosidades (38)
  • datos (9)
  • DDoS (3)
  • Defacement (7)
  • Educación (72)
  • entrevista (5)
  • Espionaje (11)
  • Estadísticas (9)
  • Eventos (14)
  • exploit (66)
  • Facebook (16)
  • Filtraciones (25)
  • General (59)
  • Hacking (58)
  • hacktivismo (19)
  • Herramientas (18)
  • Heurística (6)
  • Hoax (3)
  • Humor (1)
  • Informes (16)
  • Ingenieria social (98)
  • Juegos (5)
  • Mac (10)
  • Malware (243)
  • Phishing (59)
  • Piratería (7)
  • Privacidad (20)
  • Productos (36)
  • ransomware (3)
  • redes sociales (65)
  • rogue (25)
  • rootkit (1)
  • Scada (4)
  • Scam (21)
  • scareware (2)
  • seguridad (80)
  • sorteos (2)
  • Spam (123)
  • spyware (2)
  • telefonía (33)
  • Troyanos (12)
  • Tutoriales (19)
  • Unix (1)
  • Vulnerabilidades (197)

• Archivos

  • mayo 2012 (13)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Stuxnet y las teorías conspiratorias internacionales

El gusano Stuxnet sigue generando noticias aun a pesar de haber pasado medio año desde que se hicieron públicos los primeros informes que demostraban su existencia. Ahora, un amplio artículo del prestigioso periódico New York Times (accesible previo registro gratuito) intenta demostrar la teoría de que este código malicioso avanzado fue desarrollado por los gobiernos de Israel y Estados unidos para retrasar el plan de obtención de uranio enriquecido por parte de Irán. Según se comenta en ese artículo, existirían indicios de que los israelíes probaron en el complejo nuclear de Dimona esta elaborada amenaza en centrifugadoras del mismo modelo que las empleadas en Irán, para así comprobar la eficacia de Stuxnet.

Según se deduce de esta información, los planes para lanzar un ciber-ataque que retrasase los progresos de Iran en materia nuclear tienen su origen en 2008, cuando la administración de George Bush aun se encontraba al mando de los EE.UU. Datos como la preocupación e intento de bloqueo por parte de EE.UU para impedir que Iran obtuviese las centrifugadoras, que el código de Stuxnet incluyese una instrucción que afectaba específicamente a 984 máquinas, y que estas fueran exactamente las que observadores internacionales encontraron inoperativas durante una visita a las instalaciones nucleares iraníes a finales de 2009, han vuelto a poner en primera plana las teorías conspiratorias.

No hemos tardado en ver como los demás medios de comunicación se han hecho eco de la noticia. En España, sin ir más lejos, tanto El país como El mundo han publicado sus propios artículos tomando como referencia el del New York Times. No obstante, a pesar de que consideramos que el artículo de este prestigioso periódico está bien documentado, bien redactado y merece la pena su lectura, algunas conclusiones parecen forzadas y se hacen afirmaciones sin tener en cuenta la fiabilidad de algunos datos obtenidos, a veces incluso forzando las coincidencias para que parezca que todo forma de un plan perfectamente orquestado.

Nuestro compañero David Harley, investigador senior de ESET, y con el que ya hemos tenido la suerte de colaborar alguna vez en este blog, nos comenta que basar la veracidad de esta información en las continuas evasivas a comentar estos incidentes por parte de los gobiernos supuestamente implicados no es algo que se sostenga por su propio peso. A pesar de ello, este secretismo también podría tener otro tipo de implicaciones. Stuxnet tiene todas las características para ser una colaboración entre varios individuos o grupos con conocimientos muy especializados en un campo en concreto. No obstante todo el incógnito y sigilo que se intentó implementar en el código de Stuxnet fue anulado cuando, en una de sus variantes, se introdujo la capacidad de propagarse a través de la característica Autorun, cosa que hizo que fuese detectado rápidamente por la mayoría de motores antivirus. Esto puede hacernos deducir tres teorías:

a) No había nadie en el equipo que desarrolló Stuxnet con experiencia previa en el campo del malware, cosa comprensible en un equipo formado bajo las órdenes de un gobierno.

b) Las versiones previas de Stuxnet ya habían conseguido su objetivo por lo que no había problema en que empezase a ser detectado. Recordemos que la versión de Stuxnet que incorporaba la función de Autorun no era la primera.

c) Existía la intención de enviar un mensaje a Irán y al mundo en general sobre las capacidades de ciertas agencias y estados, deducido a través de las pistas que se encontraron en el código. No obstante, no hemos visto ninguna prueba de que Israel o los EE.UU. hayan sido los que colocaron esas pistas y, aunque lo hubiesen sugerido, no hay pruebas fehacientes que lo demuestren.

Por todo lo comentado, desde el laboratorio de ESET en Ontinet.com, nos gustaría recomendar a nuestros lectores que cogiesen con pinzas toda la información que asegure tener datos fiables que impliquen a gobiernos u organizaciones en la elaboración del gusano Stuxnet. Si bien las teorías conspiratorias hacen crecer el interés del público en una historia, no tenemos porque creérnoslas todas a pie juntillas, al menos hasta que hayan datos fiables de fuentes contrastables.

Josep Albors

Mejora de la privacidad en Flash Player

El equipo de Adobe Flash Player se ha comprometido a mejorar la privacidad en el uso de la aplicación y, por ello, a continuación vamos a informarles de las mejoras que van a incorporar.

Los esfuerzos se están centrando sobre todo en torno al almacenamiento local, también llamado LSO (local shared objects). Esto es, que las aplicaciones en Flash pueden guardar pequeñas cantidades de datos en nuestro ordenador para poder acceder a ellas posteriormente recordando la información anterior.

Este almacenamiento ha suscitado muchas dudas respecto a la privacidad debido a que es posible almacenar información de seguimiento o incluso restaurar informaciones eliminadas mediante el navegador por el usuario. Por ello informan que han estado colaborando con los distintos fabricantes de navegadores para integrar la gestión de LSO con la interfaz de usuario del navegador permitiendo borrar las cookies.

Otra de las mejoras que se van a implementar es respecto a la conjuración de administración de Flash Player, desde donde se podrá controlar cualquier parámetro de almacenamiento local simplemente haciendo clic con el botón derecho sobre cualquier contenido de Flash Player y seleccionando la opción “Configuración global …”. Por otra parte, se está trabajando en un nuevo diseño para la futura nueva versión de Adobe Flash Player. Disponen de más información Aquí.

Desde el departamento técnico de ESET en Ontinet.com, esperamos que estas novedades nos ayuden, más si cabe, a proteger nuestros datos en Internet.

David Sánchez

Oleada de scam a través de Twitter

Desde finales de la semana pasada están apareciendo tweets, como los que mostramos en la imagen siguiente, posiblemente publicados por usuarios infectados, en el que se anuncia una protección antivirus completa para nuestro sistema, anunciada como la protección más fiable del mundo:

Este tipo de scam no es nuevo, ya que ha sido utilizado anteriormente por los creadores de malware para timar a los usuarios con un producto totalmente falso. Al pulsar en cualquiera de los enlaces a los que se hace referencia, nos aparece la siguiente página.

En la página de la supuesta aplicación Antivirus & Security, al pulsar en cualquier enlace se nos redirigirá automáticamente a la página de Paypal para realizar el pago del producto:

Además de lo indicado por vía Twitter, hemos detectado que mediante Facebook también aparece un perfil que hace referencia a este falso software:

Desde el departamento técnico de ESET en Ontinet.com, queremos advertir a los usuarios del peligro de utilizar los resultados ofrecidos por las búsquedas realizadas a través de redes sociales, como Facebook o Twitter ya que, como hemos visto en este caso, podemos encontrarnos con resultados que pueden provocar que seamos víctimas de fraudes, timos, malware, etc.

David Sánchez.

Multas de tráfico desde Brasil

A nadie le gusta tener que pagar multas de tráfico ¡y menos si provienen de un país que no hemos visitado recientemente!. Continuando con la tradición de los ciberdelincuentes de esa región del mundo, centrados principalmente en la creación y propagación de troyanos bancarios, hemos recibido un correo electrónico en nuestro laboratorio en el que se nos avisa de unas supuestas multas de tráfico pendientes de pagar. Como ninguno de nosotros ha tenido la suerte de viajar a tierras brasileñas recientemente sospechamos de inmediato del correo y empezamos a analizarlo.

Observamos que el correo se compone de una cabecera que simula ser la del equivalente brasileño a nuestra Dirección General de Tráfico (Departamento de Estradas de Rodagem o DER en Brasil). Seguidamente se nos indica en portugués que tenemos varias notificaciones de multas pendientes y se nos invita a pulsar sobre el enlace proporcionado para acceder a las mismas. Es en este punto donde deben saltar todas las alarmas ya que, si bien todos los enlaces apuntan a una misma dirección que empieza por un dominio que simula ser auténtico (http://portal-der.com/consulta/) el resto del enlace nos redirige a la descarga de un código malicioso que las soluciones de seguridad de ESET detectan un troyano.

Hasta aquí todo bastante normal y, aunque en Brasil este tipo de correos pueden engañar fácilmente a los usuarios al usar organismos oficiales locales, dudamos que fuera de ese territorio logre un alto porcentaje de éxito. No obstante, este ejemplo debería hacernos reflexionar sobre amenazas similares que podamos recibir en España. Llevamos meses alertando de la suplantación de organismos y fuerzas de seguridad del estado como la Agencia Tributaria, la Guardia Civil o la Policía Nacional y suponemos que, si se siguen usando estos métodos de suplantación es porque tienen un éxito más elevado que el spam tradicional.

Con respecto al ejemplo que hemos visto, en España la Dirección General de Tráfico permite registrarnos en un sistema de avisos para consultar posibles multas usando la dirección electrónica vial (DEV). Estos avisos se pueden revisar en el portal web preparado para tal efecto en https://sede.dgt.gob.es/sede/. Ahora bien, ¿qué sucedería si alguien preparase una campaña similar a la que hemos analizado en este post pero adaptado a nuestro territorio?. No sería muy difícil enviar millones de correos spam con enlaces que dirigiesen a un dominio con una dirección web similar a la usada por la DGT y alojar ahí malware. ¿Y porqué detenernos ahí? Los ciberdelincuentes podrían preparar también una web que clonara la original pero que nos pidiera los datos de nuestra tarjeta de crédito para pagar infracciones de tráfico que no hemos cometido. Sería como un phishing bancario pero con multas de tráfico.

Como vemos, conseguir engañar al usuario para que caiga en la trampa de los ciberdelincuentes solo requiere de un poco de ingenio. Desde el laboratorio de ESET en Ontinet.com esperamos que posts como este ayuden a los usuarios a distinguir aquellos correos trampa para evitar que nuestro equipo quede infectado.

Josep Albors

Ataques a sistemas Scada. ¿Es China el próximo objetivo?

Recién terminado el 2010, los ataques a sistemas Scada (usados en la gestión de infraestructuras críticas, entre otras aplicaciones) han sido sin duda la noticia más importante en materia de seguridad informática. Desde que empezamos a hablar el verano pasado de las vulnerabilidades que se habían encontrado y estaban siendo explotadas, las noticias sobre este tipo de ataques Scada no han dejado de sucederse y muchos investigadores han advertido de la peligrosidad que representa que estos sistemas presenten tales fallos.

El gusano Stuxnet fue un claro ejemplo de una pieza de malware específicamente diseñada para atacar estos sistemas y, los efectos que esta sofisticada amenaza han tenido en países como Iran, han demostrado que la seguridad de los sistemas Scada debe empezar a tomarse en serio. Pero, como ocurre en el mercado de software comercial para usuarios y empresas, existen varias soluciones de software que permiten gestionar sistemas de infraestructuras y muchos están enfocados a un mercado en concreto.

Recientemente, el investigador Dillon Beresford ha publicado en su blog el descubrimiento de una vulnerabilidad en el software de gestión de sistemas Scada KingView. Este software está desarrollado por Wellintech, una desarrolladora de hardware con sede en Pekín.

Según comenta Beresford, el primer contacto avisando de una vulnerabilidad descubierta se produjo el pasado 28 de Septiembre. Esta vulnerabilidad es de las consideradas como graves, ya que permite a un atacante aprovecharse de la misma para ejecutar código arbitrario. Al no recibir respuesta decidió contactar con el Centro de Alerta Temprana de Estados Unidos, que le contestaron al cabo de un tiempo indicando que se iban a poner en contacto con el fabricante. No obstante, a fecha de hoy la vulnerabilidad sigue estando presente en la versión que el fabricante pone a disposición de sus usuarios en su página web por lo que Beresford, cansado de esperar una solución, ha decidido publicar el código del exploit que se aprovecha de la vulnerabilidad descubierta. Esto significa que cualquiera con conocimientos suficientes puede usar este código para lanzar ataques contra infraestructuras que usen este sistema de gestión, estando el código a disposición de cualquier interesado en analizarlo también disponible en la Exploit Database.

Teniendo como precedente al gusano Stuxnet, la publicación de este código puede hacer mucho daño si no se toman las medidas oportunas. Lo más sensato hubiese sido que el fabricante del software afectado no ignorase los comunicados del investigador y hubiese solucionado la vulnerabilidad, pero muchas veces, intereses económicos o la simple desidia de según qué desarrolladores hacen que las vulnerabilidades se queden por solucionar durante mucho tiempo. Según este investigador, su decisión de tomar esta medida ha sido pensada como una manera de presionar al fabricante para que se apremie en solucionar este agujero de seguridad.

Por desgracia, desde el laboratorio de ESET en Ontinet.com, pensamos que veremos más de un ataque a este sistema de control antes de que se solucione la vulnerabilidad. La solución de vulnerabilidades en programas es algo que nos atañe a todos los fabricantes de software y no se pueden ignorar agujeros de seguridad de este tipo, mas aun cuando estos han sido debidamente notificados con la suficiente antelación.

Josep Albors

Miles de cuentas ilegales de iTunes se venden a través de la tienda online más grande de China

El periódico Global Times, informaba en su edición del pasado jueves que se están vendiendo a través de taobao.com, la mayor tienda online de China, cerca de 50000 cuentas ilegales de iTunes, que previamente habrían sido robadas y luego subastadas.

Por unos 23€, un usuario con una de estas cuentas, puede comprar hasta 154€ en productos digitales, como música, aplicaciones o cine, ofrecidos por Apple a través de iTunes. A los compradores se les promete el acceso a música y películas a través de iTunes por siete veces la cantidad pagada por la cuenta, con la única restricción de que las compras se deben realizar, como máximo, en 24 horas después de haber realizado la compra.

Global Times entrevistó al respecto a Yuanzhi Xu, un experto en TI con sede en Chongqing, el cual indicó que estas cuentas pueden haber surgido, tanto por obra de hackear cuentas de iTunes de usuarios extranjeros, como de tarjetas de crédito extranjeras robadas y utilizadas para crear cuentas de iTunes.

Al contrario de lo que indica Yuanzhi Xu, desde taobao.com comentan, que las tarjetas regalo que han aparecido es su web son obra de hackers chinos que han logrado descifrar el algoritmo de las tarjetas regalo de iTunes, pudiendo generar códigos propios que habrían sido comprados por Taobao.com. Desde Apple no se ha producido ninguna respuesta a lo sucedido.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios con cuenta en iTunes cambiar frecuentemente la contraseña de acceso y además, borrar los datos de la tarjeta de crédito en los datos de facturación de la cuenta y solo introducirlos en el momento de realizar una compra a través de iTunes.

David Sánchez

¿Está disminuyendo el nivel de spam?

En el laboratorio de ESET en Ontinet.com llevamos unos días oyendo como varios medios y blogs (tanto especializados como generalistas) se hacen eco de la noticia que afirma que los envíos de correo basura o spam han sufrido una importante reducción en las últimas semanas. La verdad es que nosotros no hemos notado esa disminución en el volumen de spam que procesan nuestros servidores de correos (si que hemos notado un aumento en los correos que vienen de remitentes asiáticos) pero si tanta gente lo afirma será porque hay algo de verdad en la noticia.

Que el spam es un incordio no lo niega nadie. Todo aquel correo que se haya saltado nuestros filtros antispam supone una pérdida de tiempo al tener que identificarlo y eliminarlo manualmente. Esa pérdida de tiempo multiplicada por todos los empleados que hacen uso de una herramienta como es el correo electrónico suponen perdidas millonarias para las empresas. Además, a nadie le gusta que duden de su virilidad ofreciéndole pastillas de Viagra y sus derivados. Pero además de molestar, el spam tiene su finalidad y es la de hacer ganar dinero a aquellos que se dedican a enviarlo.

Sobre cómo ganar dinero enviando millones de correos por minuto podríamos hablar largo y tendido, pero ahora nos vamos a centrar en un punto que puede hacernos comprender esta relación entre la disminución del envío de spam y unas viejas conocidas como son las botnets. Efectivamente, las botnets son las responsables de la gran mayoría del envío de spam a nivel mundial. Estas legiones de ordenadores zombies no paran de enviar correo no deseado, cambiando la composición del mismo cuando el botmaster o spammer que tiene esa botnet alquilada así lo indica.

¿Y la relación con esta disminución del spam? Bueno, muchas de estas botnets son programadas y gestionadas desde unos países en concreto. Un claro ejemplo es Rusia (y también aquellas republicas ex-sovieticas) que, hasta hace relativamente poco, representaba un auténtico paraíso para todo aquello relacionado con el cibercrimen. No obstante, esa situación está cambiando y las autoridades rusas están emprendiendo una dura campaña contra los ciberdelincuentes, incluyendo spammers y botmasters. La desarticulación de estas redes de ordenadores zombies parecen la mejor teoría para explicar la disminución del spam que recibimos, sobre todo debido a que este ha caído de forma brusca en cortos intervalos de tiempo, motivado por la pérdida de conexión de los ordenadores zombies con los centros de control que los gobiernan.

Existen otras teorías como las que apuntan a un movimiento de los spammers a las redes sociales (cosa que lleva meses produciéndose) o la anulación de campañas de spam no muy exitosas para preparar otras que sí lo sean. De cualquier forma, toda disminución del correo no deseado es una buena noticia para los usuarios aunque, desafortunadamente, no esperamos que esta disminución dure mucho tiempo, sobretodo porque en experiencias pasadas ya vimos que era cuestión de tiempo que los spammers se reorganizasen.

Josep Albors

Nueva vulnerabilidad en el manejo de archivos gráficos de Windows

Parece que a Microsoft se le está atragantando el final de año y el principio del recién estrenado 2011. Si hace unos días informábamos de una vulnerabilidad en Internet Explorer que estaba siendo aprovechada y ayer mismo escribíamos sobre otra vulnerabilidad en Word, la publicación ayer por la tarde de un nuevo aviso de seguridad por parte de Microsoft ha desvelado una nueva vulnerabilidad grave.

En este caso, se ha encontrado un fallo en el manejo de las imágenes thumbnail (versiones reducidas de imágenes) que permitiría a un atacante tomar el control completo del sistema (permitiéndole instalar malware, eliminar archivos o crear nuevas cuentas de usuario, por ejemplo) simplemente haciendo que el usuario visualice una imagen especialmente modificada en un navegador, adjunta a un documento o correo electrónico.

Esta grave vulnerabilidad afectaría a todas las versiones de Windows XP, Server 2003, Vista, y Server 2008, no siendo afectados Windows 7 ni Server 2008 R2. La publicación de esta vulnerabilidad fue realizada por dos investigadores en una reciente convención sobre seguridad celebrada el pasado mes de Diciembre en Corea del Sur. Microsoft dice en su aviso de seguridad que no ha detectado aun exploits que se aprovechen de este fallo pero esta vulnerabilidad ya ha sido agregada en un nuevo módulo del conocido software de tests de penetración Metasploit.

Una vez esta vulnerabilidad se ha hecho pública es de esperar que Microsoft esté trabajando en una solución para la misma aunque desconocemos si lanzará un parche que la solucione el próximo martes de actualizaciones (11 de Enero) , esperará al mes siguiente o lanzará un parche fuera del ciclo de actualizaciones.

En cualquier caso, lo importante ahora que conocemos la existencia de este fallo es evitar que las amenazas que puedan aprovecharse del mismo logren infectar nuestro sistema. Para ello, desde el laboratorio de ESET en Ontinet.com recomendamos trabajar con permisos de usuario restringido para, en el caso de visualizar una imagen maliciosa, no se pueda ejecutar código no autorizado. Asimismo, deberemos desconfiar de archivos adjuntos y enlaces sospechosos de contener algún tipo de imagen no solicitada a la vez que mantenemos nuestro antivirus actualizado para que sea capaz de detectar los archivos infectados. Por supuesto, una vez Microsoft publique el parche de seguridad, será altamente recomendable su instalación.

Josep Albors

Amenaza se aprovecha de vulnerabilidad en Word para propagar malware

Cuando parecía que los códigos maliciosos que se aprovechaban de vulnerabilidades en aplicaciones de Office habían caído casi en el olvido, Microsoft acaba de lanzar un aviso indicando que están observándose muestras de malware que intentan aprovecharse de una vulnerabilidad en Word solucionada el pasado mes de Noviembre.

Estos ataques usan un archivo RTF (Formato de Texto Enriquecido) malicioso para ocasionar un desbordamiento de pila en las versiones de Word para Windows. Tras aprovecharse de este fallo, se descarga y ejecuta un archivo malicioso en el sistema. Este exploit para la vulnerabilidad en Word es especialmente preocupante, ya que el archivo RTF malicioso puede ejecutarse con tan solo mostrarse en la vista preliminar del cliente de correo Outlook, iniciándose así la descarga y ejecución del malware.

Microsoft ya avisó en el momento de lanzar el parche que soluciona esta vulnerabilidad que era muy probable que esta fuese aprovechada en breve, como al final ha sucedido, por lo que, desde el laboratorio de ESET en Ontinet.com, recomendamos descargar los parches de seguridad publicados que se correspondan con nuestra versión de Word. Estos parches también están disponibles para las versiones que funcionan bajo plataformas Mac, aunque estas no se ven afectadas.

Como vemos, es importante aplicar los parches de seguridad tan pronto como estos se encuentren disponibles. Ya hay suficiente malware explotando vulnerabilidades aun por corregir como para tener aun más expuesto nuestro sistema por no haber actualizado a tiempo. Un muy buen ejemplo de este fallo a la hora de actualizar es el código malicioso Conficker que, más de dos años después de su aparición sigue infectando en un alto porcentaje a muchos sistemas sin actualizar.

Josep Albors

« Artículos Posteriores